- Вопрос по VPN,
 zzz, 21:19 , 29-Май-06 (1)>Приветсвую! Вот такая пролема у меня. Есть киска 2611, на ней настроено
>VPN. Юзер на виндузовой машине конектится к киске с помощью циско
>впн клиента версии 4.8. Плучает адресс из пула. Воощем все вроде
>как и должно быть. А вот далее он не видет никаких
>внутренних ресурсов, хотя пинги есть до любой машины или сервера внутри
>сети и трейс проходит. Так же непонятно с выходом в инет.
>Браузер никуда не идет, хотя если идти телнетом на любой урл
>по 80 порту, то все нормально, а браузер молчит. Еще мне
>говорили что могут быть проблемы с МТУ. А вот какие иммено?
>Может там траблы возникают с пакетами большими, по туннелю они не
>проходят просто. Вообщем жду от Вас советов. Спасибо за помощь.
А можно конфиг в студию???
- Вопрос по VPN, Александр, 21:53 , 29-Май-06 (2)
>А можно конфиг в студию??? Вот конфиг Current configuration : 1940 bytes
!
! Last configuration change at 20:34:51 UTC Mon May 29 2006
!
version 12.3
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname vpngate2611
!
boot-start-marker
boot system flash c2600-ik9s-mz.123-19.bin
boot-end-marker
!
enable password xxxxx
!
clock timezone UTC 3
no network-clock-participate slot 1
no network-clock-participate wic 0
aaa new-model
!
!
aaa authentication login VPNUSERS local
aaa authorization network VPNREMOTE local
aaa session-id common
ip subnet-zero
ip cef
!
!
!
username cisco password 0 cisco
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp keepalive 20 10
crypto isakmp xauth timeout 20 !
crypto isakmp client configuration group VPNREMOTE
key VPNKEY
dns 192.168.18.16 195.230.73.2
domain MSK-RIAN
pool vpnpool
!
!
crypto ipsec transform-set VPNTRANS esp-3des esp-sha-hmac
!
crypto dynamic-map DYNMAP 1
set transform-set VPNTRANS
reverse-route
!
!
crypto map CLIENTMAP client authentication list VPNUSERS
crypto map CLIENTMAP isakmp authorization list VPNREMOTE
crypto map CLIENTMAP client configuration address respond
crypto map CLIENTMAP 65535 ipsec-isakmp dynamic DYNMAP
!
!
!
!
interface FastEthernet0/0
ip address 172.10.10.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
no ip route-cache cef
no ip mroute-cache
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/1
ip address 212.xxx.xxx.xxx 255.255.255.128
no ip redirects
no ip unreachables
no ip proxy-arp
no ip route-cache cef
no ip mroute-cache
duplex auto
speed auto
no cdp enable
crypto map CLIENTMAP
!
ip local pool vpnpool 172.10.10.11 172.10.10.20
ip http server
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 212.xxx.xxx.1
!
!
no cdp run
!
!
!
line con 0
line aux 0
line vty 0 4
!
end
- Вопрос по VPN, denn, 15:44 , 30-Май-06 (3)
>Приветсвую! Вот такая пролема у меня. Есть киска 2611, на ней настроено
>VPN. Юзер на виндузовой машине конектится к киске с помощью циско
>впн клиента версии 4.8. Плучает адресс из пула. Воощем все вроде
>как и должно быть. А вот далее он не видет никаких
>внутренних ресурсов, хотя пинги есть до любой машины или сервера внутри
>сети и трейс проходит. Так же непонятно с выходом в инет.
>Браузер никуда не идет, хотя если идти телнетом на любой урл
>по 80 порту, то все нормально, а браузер молчит. Еще мне
>говорили что могут быть проблемы с МТУ.у винды стек по-другому настроен. есть даже где-то патчик для лечения этой проблемы.
то что не открывает броузер - именно мту.
то что большие пакеты - смотри sh traf раздел frag на предмет ошибок фрагментрования.
+попробуй стандартным виндовым впн - что скажет?
А вот какие иммено?
>Может там траблы возникают с пакетами большими, по туннелю они не
>проходят просто. Вообщем жду от Вас советов. Спасибо за помощь.
- Вопрос по VPN, Александр, 18:54 , 30-Май-06 (4)
>>Приветсвую! Вот такая пролема у меня. Есть киска 2611, на ней настроено
>>VPN. Юзер на виндузовой машине конектится к киске с помощью циско
>>впн клиента версии 4.8. Плучает адресс из пула. Воощем все вроде
>>как и должно быть. А вот далее он не видет никаких
>>внутренних ресурсов, хотя пинги есть до любой машины или сервера внутри
>>сети и трейс проходит. Так же непонятно с выходом в инет.
>>Браузер никуда не идет, хотя если идти телнетом на любой урл
>>по 80 порту, то все нормально, а браузер молчит. Еще мне
>>говорили что могут быть проблемы с МТУ.
>
>у винды стек по-другому настроен. есть даже где-то патчик для лечения этой
>проблемы.
>то что не открывает броузер - именно мту.
>то что большие пакеты - смотри sh traf раздел frag на предмет
>ошибок фрагментрования.
>+попробуй стандартным виндовым впн - что скажет?
>
>
> А вот какие иммено?
>>Может там траблы возникают с пакетами большими, по туннелю они не
>>проходят просто. Вообщем жду от Вас советов. Спасибо за помощь.
Все вроде разрулилось.. в сеть попадет,ресурсы локалки видны.. инет пашет... НО.. это если клиент имеет паблик IP. А я вот пошел в соседнию контору и подключился в их сеть. У них фрюха и нат. У меня естественно внутренний айпи. Пытаюсь впн клиентом подключиться к своей циске и тишина... т.е. вроде как пакеты уходят, но в обратку ниче не идет. Этот вопрос решается на циске или надо смотреть настройки на фрюхе. Или вообще в данном случае через нат ниче работать не будет. Задача вообще стоит такая. Разные люди будут с ноутами мотаться по городам и весям и их надо в нащу сетку пускать со всеми вытекающими. Ведь неизвестно какие им дадут адресса в каком-нибудь бабруйске. Что посоветуете?
- Вопрос по VPN, Александр, 10:43 , 31-Май-06 (5)
>>>Приветсвую! Вот такая пролема у меня. Есть киска 2611, на ней настроено
>>>VPN. Юзер на виндузовой машине конектится к киске с помощью циско
>>>впн клиента версии 4.8. Плучает адресс из пула. Воощем все вроде
>>>как и должно быть. А вот далее он не видет никаких
>>>внутренних ресурсов, хотя пинги есть до любой машины или сервера внутри
>>>сети и трейс проходит. Так же непонятно с выходом в инет.
>>>Браузер никуда не идет, хотя если идти телнетом на любой урл
>>>по 80 порту, то все нормально, а браузер молчит. Еще мне
>>>говорили что могут быть проблемы с МТУ.
>>
>>у винды стек по-другому настроен. есть даже где-то патчик для лечения этой
>>проблемы.
>>то что не открывает броузер - именно мту.
>>то что большие пакеты - смотри sh traf раздел frag на предмет
>>ошибок фрагментрования.
>>+попробуй стандартным виндовым впн - что скажет?
>>
>>
>> А вот какие иммено?
>>>Может там траблы возникают с пакетами большими, по туннелю они не
>>>проходят просто. Вообщем жду от Вас советов. Спасибо за помощь.
>
>
>Все вроде разрулилось.. в сеть попадет,ресурсы локалки видны.. инет пашет... НО.. это
>если клиент имеет паблик IP. А я вот пошел в соседнию
>контору и подключился в их сеть. У них фрюха и нат.
>У меня естественно внутренний айпи. Пытаюсь впн клиентом подключиться к своей
>циске и тишина... т.е. вроде как пакеты уходят, но в обратку
>ниче не идет. Этот вопрос решается на циске или надо смотреть
>настройки на фрюхе. Или вообще в данном случае через нат ниче
>работать не будет. Задача вообще стоит такая. Разные люди будут с
>ноутами мотаться по городам и весям и их надо в нащу
>сетку пускать со всеми вытекающими. Ведь неизвестно какие им дадут адресса
>в каком-нибудь бабруйске. Что посоветуете? В догонку так сказать. Схема подключения примерно такая:
(мобильный юзер с ноутом)---(ISP,NAT)---(internet)----(Наша Cisco 2611)--(LAN)
- Вопрос по VPN, fantom, 11:18 , 31-Май-06 (6)
>>>>Приветсвую! Вот такая пролема у меня. Есть киска 2611, на ней настроено
>>>>VPN. Юзер на виндузовой машине конектится к киске с помощью циско
>>>>впн клиента версии 4.8. Плучает адресс из пула. Воощем все вроде
>>>>как и должно быть. А вот далее он не видет никаких
>>>>внутренних ресурсов, хотя пинги есть до любой машины или сервера внутри
>>>>сети и трейс проходит. Так же непонятно с выходом в инет.
>>>>Браузер никуда не идет, хотя если идти телнетом на любой урл
>>>>по 80 порту, то все нормально, а браузер молчит. Еще мне
>>>>говорили что могут быть проблемы с МТУ.
>>>
>>>у винды стек по-другому настроен. есть даже где-то патчик для лечения этой
>>>проблемы.
>>>то что не открывает броузер - именно мту.
>>>то что большие пакеты - смотри sh traf раздел frag на предмет
>>>ошибок фрагментрования.
>>>+попробуй стандартным виндовым впн - что скажет?
>>>
>>>
>>> А вот какие иммено?
>>>>Может там траблы возникают с пакетами большими, по туннелю они не
>>>>проходят просто. Вообщем жду от Вас советов. Спасибо за помощь.
>>
>>
>>Все вроде разрулилось.. в сеть попадет,ресурсы локалки видны.. инет пашет... НО.. это
>>если клиент имеет паблик IP. А я вот пошел в соседнию
>>контору и подключился в их сеть. У них фрюха и нат.
>>У меня естественно внутренний айпи. Пытаюсь впн клиентом подключиться к своей
>>циске и тишина... т.е. вроде как пакеты уходят, но в обратку
>>ниче не идет. Этот вопрос решается на циске или надо смотреть
>>настройки на фрюхе. Или вообще в данном случае через нат ниче
>>работать не будет. Задача вообще стоит такая. Разные люди будут с
>>ноутами мотаться по городам и весям и их надо в нащу
>>сетку пускать со всеми вытекающими. Ведь неизвестно какие им дадут адресса
>>в каком-нибудь бабруйске. Что посоветуете?
>
>В догонку так сказать. Схема подключения примерно такая:
>(мобильный юзер с ноутом)---(ISP,NAT)---(internet)----(Наша Cisco 2611)--(LAN)
Проблемы могут быть и там, и тут.
у некоторых организация тунелей изнутри сети запрещена напрямую.
- Вопрос по VPN, Александр, 11:36 , 31-Май-06 (7)
>>>>>Приветсвую! Вот такая пролема у меня. Есть киска 2611, на ней настроено
>>>>>VPN. Юзер на виндузовой машине конектится к киске с помощью циско
>>>>>впн клиента версии 4.8. Плучает адресс из пула. Воощем все вроде
>>>>>как и должно быть. А вот далее он не видет никаких
>>>>>внутренних ресурсов, хотя пинги есть до любой машины или сервера внутри
>>>>>сети и трейс проходит. Так же непонятно с выходом в инет.
>>>>>Браузер никуда не идет, хотя если идти телнетом на любой урл
>>>>>по 80 порту, то все нормально, а браузер молчит. Еще мне
>>>>>говорили что могут быть проблемы с МТУ.
>>>>
>>>>у винды стек по-другому настроен. есть даже где-то патчик для лечения этой
>>>>проблемы.
>>>>то что не открывает броузер - именно мту.
>>>>то что большие пакеты - смотри sh traf раздел frag на предмет
>>>>ошибок фрагментрования.
>>>>+попробуй стандартным виндовым впн - что скажет?
>>>>
>>>>
>>>> А вот какие иммено?
>>>>>Может там траблы возникают с пакетами большими, по туннелю они не
>>>>>проходят просто. Вообщем жду от Вас советов. Спасибо за помощь.
>>>
>>>
>>>Все вроде разрулилось.. в сеть попадет,ресурсы локалки видны.. инет пашет... НО.. это
>>>если клиент имеет паблик IP. А я вот пошел в соседнию
>>>контору и подключился в их сеть. У них фрюха и нат.
>>>У меня естественно внутренний айпи. Пытаюсь впн клиентом подключиться к своей
>>>циске и тишина... т.е. вроде как пакеты уходят, но в обратку
>>>ниче не идет. Этот вопрос решается на циске или надо смотреть
>>>настройки на фрюхе. Или вообще в данном случае через нат ниче
>>>работать не будет. Задача вообще стоит такая. Разные люди будут с
>>>ноутами мотаться по городам и весям и их надо в нащу
>>>сетку пускать со всеми вытекающими. Ведь неизвестно какие им дадут адресса
>>>в каком-нибудь бабруйске. Что посоветуете?
>>
>>В догонку так сказать. Схема подключения примерно такая:
>>(мобильный юзер с ноутом)---(ISP,NAT)---(internet)----(Наша Cisco 2611)--(LAN)
>
>
>Проблемы могут быть и там, и тут.
>у некоторых организация тунелей изнутри сети запрещена напрямую. А какой выход может быть в данной ситуации? Я понимаю что если человек приезжает на долго работать можно с провадером договориться и о выделении внешнего адресса и открыть порты, а если на 2-3 дня, то тогда без мазы. Как быть?
- Вопрос по VPN, fantom, 11:58 , 31-Май-06 (8)
>
>А какой выход может быть в данной ситуации? Я понимаю что если
>человек приезжает на долго работать можно с провадером договориться и о
>выделении внешнего адресса и открыть порты, а если на 2-3 дня,
>то тогда без мазы. Как быть? Создай "испытательный стенд" - подними NAT и отладь связь через NAT.
Ну а дальше в каждом конкретном случае - либо итак все работать будет, либо договариваться с админом сетки чтобы разрешил тунель на нужный IP.
|
Версия для распечатки
Вопрос по VPN, 
